Будете к ним приставать с вопросом «а почему меня не посадили?» — может быть заметят.
По-моему суть закона очевидна — закрыть массовые способы обхода, а на ваши мелкие технические придирки им пофиг.
Изначальные принципы языка были настолько хороши, что 10 лет (с 1999 по 2009) язык прожил вообще без изменений. Конечно к этому были и негативные причины, политика Microsoft и Mozilla, многое другое, но, уверен, не многие из других популярных языков смогли бы пройти такое же испытание и подняться после этого. Просто представьте, что стало бы с TypeScript или Rust после 10 лет отсутствия обновлений. Причина по которой JavaScript выжил очень проста, он решает одну задачу и делает это идеально.
Да он прожил 10 лет без изменений и решал свою задачу — добавление лёгкого скриптования к свёрстанному html-коду. Как только какие-то умники решили на нём "программировать" всё сразу пошло наперекосяк.
с десяток лет назад этот аргумент активно применялся для хейтерства php.
ну так для php это всё до сих пор актуально, просто все уже привыкли за 10 лет
Всё что связано с вебом в последнее время (за редкими исключениями, когда конкретная компания решит сделать что-то качественное персонально для себя) — ужасное наслоение интерпретаторов, мусорного синтаксиса и абстракций не к месту. Когда очередной слой мусора оказывается полностью заполненным и несопровождаемым, поверх него делают типа лёгкую обёртку, временно прячущую накопившееся непотребство, но через некоторое время обертка обрастает всем тем же самым опять и всё повторяется заново. Javascript вполне вписывается в эту картину.
Причина, как мне кажется, в средненизкой квалификации веб-"разработчиков" и базарной (в глобальном масштабе) организации разработки.
Читал статью, думал о том как напишу коммент о том какая она плохая, но тут и так уже полно таких комментов.
Но всё же добавлю — программы для шифрованного хранения паролей защищают ровно в двух случаях:
1) у вас слили содержимое жёсткого диска (не важно как), но не смогли узнать мастер-пароль от базы паролей (с момента компрометации вы ни разу не работали за компом), вы об этом узнали и немедлено переставили систему на атакованном компе и на всякий случай сменили всё что было в базе
2) вас пытается атаковать нуб, который сам плохо понимает что он делает — тогда любое, даже незначительное, препятствие, может ему помешать добиться желаемого
Во всех остальных случаях это 100% тоже самое что хранить пароли в текстовом файле на рабочем столе.
таймер на редактирование истёк, не успел дописать:
Все указанные меры предполагаются к реализации самим владельцем устройств исходя из не-ограничения при этом его же потребностей, но ограничения всяческой нерпедусмотреной им же активности, на которую большинству, к сожалению, пофиг — ну ддосят в моего холодильника кого-то, а мне то что?
По-моему, так называемый "интернет вещей" надо запретить (читайте дальше, речь не про тупое запретительство). Ну то есть в том виде, как его представляют себе ленивые пользователи. Правильнее будет "локалка вещей" с доступом в инет через роутер и настроенными в роутере защитными механизмами (никаких входящих портов наружу, всё только через какой-нить ssh-тунель или подобное, где авторизация происходит на более компьютерно-специальном устройстве, чем всякие холодильники). А исходящий трафик строго ограничить в расчёте на конкретные нужды устройства, дабы те их них, которым не хватило предыдущих мер против взлома, не смогли заметно участвовать во всяких ddos'ах.
Могу предположить, что тем, что он, как гражданин страны, является долевым владельцем данного государства, включая и эту хорошую организацию, входящую в его состав (вне зависимости от юридической внутригосударственной формы её собственности).
Более того, учитывая особый статус данной страницы, можно сделать счётчик куда более удобный, чем js код внутри сайта. Впрочем, и сам менеджер дополнений можно было сделать полностью нативным а не как сейчас. Но, видимо, в их огромном бюджете средств на эту несложную разработку не нашлось.
У CHAP есть несколько режимов, да и вообще это протокол для "всего, что не plain-text". О том, какие из них поддерживает вышеуказанная библиотека (а так же какие из них поддерживает оператор), не знаю.
Но в любом случае ваше замечание касательно "использовать в туннеле" нерелевантно — PPP в данном случае это самая верхняя обёртка ко всем остальным протоколам (кроме аналоговых) и вопроса о запихивании его в туннель стоять не может.
Лучше посмотреть на это с другой стороны:
1) уменьшения безопасности конкретно вся эта обфускация и "подписывание" запросов не создаёт
2) разумные разработчики понимают, что всё, что сформировано на клиенте, не является доверенным и подлежит проверке — поэтому их это не запутает
3) небольшой препон к реверсу библиотеки и протокола это создаст
итого — вреда нет, польза, пусть и маленькая, есть, почему бы не сделать, раз есть такая возможность, причём почти бесплатная?
Мне тоже так показалось сначала, но на самом деле нет — сервер посылает на каждый номер код к его аккаунту, но сам код для двух аккаунтов (жертвы и хакера) одинаковый, если он запрошен в одной и той же (веб? или как его назвать для приложения)-сессии.
Данная уязвимость позволяла взломать большинство аккаунтов в социальной сети, в безопасности были только аккаунты с двухфакторной авторизацией (у них нельзя делать восстановление по номеру телефона).
Ну, на самом деле не только они — взятую наугад случайную незнакомую страницу вы так скорее всего не взломаете. Но уязвимость очень серьёзная, что-то маленькая выплата за неё.
А вопрос так и не стоял. Вопрос — хотели бы вы, лично для себя, не для какого-то эфемерного общественного блага а из прямых эгоистических соображений. Это не мешает вам не хотеть для остальных ввиду указанных вами проблем, но об этом вас никто и не спрашивал.
TIOBE не считает Node самостоятельным языком программирования
Ну что за отсебятина? Сначала подумал что эта глупость перекочевала в перевод из оригинального текста, но нет — там всё правильно написано: "TIOBE не ведет подсчёт node.js, потому что он не является (самостоятельным) языком программирования". Не "TIOBE так считает", а так и есть.
Ещё одна похожая фраза, но тут уже более нейтрально:
так как Node.js самостоятельным языком программирования не считается
Не понял, о чём вы. Let's encrypt -> цепочка провайдеров/магистралей -> ваш сайт. Провести атаку может любой из цепочки. Владелец сайта, конечно, может заметить что кому-то выдали сертификат к его сайту (и без логов выдачи, которые вряд ли кто-то мониторит на постоянной основе, а просто получив репорт о фейковом сайте с валидным сертификатом), только сделать он с этим вряд ли что-то сможет, кроме как попросить LE отозвать зловредный сертификат. Ну и потом гадать, кто же это сделал из цепочки.
По-моему суть закона очевидна — закрыть массовые способы обхода, а на ваши мелкие технические придирки им пофиг.
Да он прожил 10 лет без изменений и решал свою задачу — добавление лёгкого скриптования к свёрстанному html-коду. Как только какие-то умники решили на нём "программировать" всё сразу пошло наперекосяк.
Всё что связано с вебом в последнее время (за редкими исключениями, когда конкретная компания решит сделать что-то качественное персонально для себя) — ужасное наслоение интерпретаторов, мусорного синтаксиса и абстракций не к месту. Когда очередной слой мусора оказывается полностью заполненным и несопровождаемым, поверх него делают типа лёгкую обёртку, временно прячущую накопившееся непотребство, но через некоторое время обертка обрастает всем тем же самым опять и всё повторяется заново. Javascript вполне вписывается в эту картину.
Причина, как мне кажется, в средненизкой квалификации веб-"разработчиков" и базарной (в глобальном масштабе) организации разработки.
лучше бы подумали как не навредить обычным некоммерческим пользователям
Читал статью, думал о том как напишу коммент о том какая она плохая, но тут и так уже полно таких комментов.
Но всё же добавлю — программы для шифрованного хранения паролей защищают ровно в двух случаях:
1) у вас слили содержимое жёсткого диска (не важно как), но не смогли узнать мастер-пароль от базы паролей (с момента компрометации вы ни разу не работали за компом), вы об этом узнали и немедлено переставили систему на атакованном компе и на всякий случай сменили всё что было в базе
2) вас пытается атаковать нуб, который сам плохо понимает что он делает — тогда любое, даже незначительное, препятствие, может ему помешать добиться желаемого
Во всех остальных случаях это 100% тоже самое что хранить пароли в текстовом файле на рабочем столе.
Кто-нить знает что это за книга? Стало интересно почитать.
таймер на редактирование истёк, не успел дописать:
Все указанные меры предполагаются к реализации самим владельцем устройств исходя из не-ограничения при этом его же потребностей, но ограничения всяческой нерпедусмотреной им же активности, на которую большинству, к сожалению, пофиг — ну ддосят в моего холодильника кого-то, а мне то что?
По-моему, так называемый "интернет вещей" надо запретить (читайте дальше, речь не про тупое запретительство). Ну то есть в том виде, как его представляют себе ленивые пользователи. Правильнее будет "локалка вещей" с доступом в инет через роутер и настроенными в роутере защитными механизмами (никаких входящих портов наружу, всё только через какой-нить ssh-тунель или подобное, где авторизация происходит на более компьютерно-специальном устройстве, чем всякие холодильники). А исходящий трафик строго ограничить в расчёте на конкретные нужды устройства, дабы те их них, которым не хватило предыдущих мер против взлома, не смогли заметно участвовать во всяких ddos'ах.
У формозы кажется были как раз массовые — для десктопов. А тут серверная.
У CHAP есть несколько режимов, да и вообще это протокол для "всего, что не plain-text". О том, какие из них поддерживает вышеуказанная библиотека (а так же какие из них поддерживает оператор), не знаю.
Но в любом случае ваше замечание касательно "использовать в туннеле" нерелевантно — PPP в данном случае это самая верхняя обёртка ко всем остальным протоколам (кроме аналоговых) и вопроса о запихивании его в туннель стоять не может.
Лучше посмотреть на это с другой стороны:
1) уменьшения безопасности конкретно вся эта обфускация и "подписывание" запросов не создаёт
2) разумные разработчики понимают, что всё, что сформировано на клиенте, не является доверенным и подлежит проверке — поэтому их это не запутает
3) небольшой препон к реверсу библиотеки и протокола это создаст
итого — вреда нет, польза, пусть и маленькая, есть, почему бы не сделать, раз есть такая возможность, причём почти бесплатная?
Мне тоже так показалось сначала, но на самом деле нет — сервер посылает на каждый номер код к его аккаунту, но сам код для двух аккаунтов (жертвы и хакера) одинаковый, если он запрошен в одной и той же (веб? или как его назвать для приложения)-сессии.
Ну, на самом деле не только они — взятую наугад случайную незнакомую страницу вы так скорее всего не взломаете. Но уязвимость очень серьёзная, что-то маленькая выплата за неё.
Ну что за отсебятина? Сначала подумал что эта глупость перекочевала в перевод из оригинального текста, но нет — там всё правильно написано: "TIOBE не ведет подсчёт node.js, потому что он не является (самостоятельным) языком программирования". Не "TIOBE так считает", а так и есть.
Ещё одна похожая фраза, но тут уже более нейтрально: